Share via

Microsoft Defender voor Cloud-incidenten opnemen met Microsoft Defender XDR-integratie

  • Artikel

Microsoft Defender voor Cloud is nu geïntegreerd met Microsoft Defender XDR, voorheen Bekend als Microsoft 365 Defender. Met deze integratie kan Defender XDR waarschuwingen verzamelen van Defender voor Cloud en Defender XDR-incidenten maken.

Dankzij deze integratie kunnen Microsoft Sentinel-klanten die Defender XDR-incidentintegratie inschakelen, nu Defender voor Cloud incidenten opnemen en synchroniseren via Microsoft Defender XDR.

Ter ondersteuning van deze integratie moet u een van de volgende Microsoft Defender voor Cloud gegevensconnectors instellen, anders worden uw incidenten voor Microsoft Defender voor Cloud die via de Microsoft Defender XDR-connector komen, de bijbehorende waarschuwingen en entiteiten niet weergegeven:

  • Microsoft Sentinel heeft een nieuwe Microsoft Defender voor Cloud(preview)-connector op basis van een tenant. Met deze connector kunnen Microsoft Sentinel-klanten Defender voor Cloud waarschuwingen ontvangen voor hun hele tenants, zonder dat ze de inschrijving van de connector hoeven te controleren en te onderhouden voor al hun Defender voor Cloud abonnementen. We raden u aan deze nieuwe connector te gebruiken, omdat de Microsoft Defender XDR-integratie met Microsoft Defender voor Cloud ook op tenantniveau wordt geïmplementeerd.

  • U kunt ook de op abonnementen gebaseerde Microsoft Defender voor Cloud (verouderde) connector gebruiken. Deze connector wordt niet aanbevolen, omdat als u Defender voor Cloud abonnementen hebt die niet zijn verbonden met Microsoft Sentinel in de connector, incidenten van deze abonnementen de bijbehorende waarschuwingen en entiteiten niet weergeven.

Beide connectors die hierboven worden genoemd, kunnen worden gebruikt voor het opnemen van Defender voor Cloud waarschuwingen, ongeacht of defender XDR-incidentintegratie is ingeschakeld.

Belangrijk

  • De Defender voor Cloud-integratie met Defender XDR is nu algemeen beschikbaar (GA).

  • De Microsoft Defender voor Cloud-connector op basis van een tenant bevindt zich momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Kiezen hoe u deze integratie en de nieuwe connector gebruikt

Hoe u ervoor kiest om deze integratie te gebruiken en of u volledige incidenten of alleen waarschuwingen wilt opnemen, is in grote mate afhankelijk van wat u al doet met betrekking tot Microsoft Defender XDR-incidenten.

  • Als u defender XDR-incidenten al opneemt of als u ervoor kiest om dit nu te doen, wordt u ten zeerste aangeraden deze nieuwe tenantconnector in te schakelen. Uw Defender XDR-incidenten bevatten nu Defender voor Cloud op basis van incidenten met volledig ingevulde waarschuwingen van alle Defender voor Cloud abonnementen in uw tenant.

    Als u in deze situatie de verouderde Defender voor Cloud-connector op basis van een abonnement gebruikt en de nieuwe tenantconnector niet verbindt, ontvangt u mogelijk Defender voor Cloud incidenten die lege waarschuwingen bevatten (in het geval van een abonnement waarop de connector niet is ingeschreven).

  • Als u microsoft Defender XDR-incidentintegratie niet wilt inschakelen, kunt u nog steeds Defender voor Cloud waarschuwingen ontvangen, ongeacht welke versie van de connector u inschakelt. De nieuwe tenantconnector biedt u echter nog steeds het voordeel dat u de machtigingen niet nodig hebt om uw lijst met Defender voor Cloud abonnementen in de connector te bewaken en te onderhouden.

  • Als u Defender XDR-integratie hebt ingeschakeld, maar u alleen Defender voor Cloud waarschuwingen wilt ontvangen, maar geen incidenten, kunt u automatiseringsregels gebruiken om Defender voor Cloud incidenten onmiddellijk te sluiten wanneer ze binnenkomen.

    Als dit geen geschikte oplossing is of als u nog steeds waarschuwingen van Defender voor Cloud per abonnement wilt verzamelen, kunt u zich volledig afmelden voor de integratie van Defender voor Cloud in de Microsoft Defender XDR-portal en vervolgens de verouderde, abonnementsversie van de Defender voor Cloud gebruiken connector voor het ontvangen van deze waarschuwingen.

De integratie instellen in Microsoft Sentinel

Als u de integratie van incidenten nog niet hebt ingeschakeld in uw Microsoft 365 Defender-connector, doet u dit eerst.

Schakel vervolgens de nieuwe op tenant gebaseerde Microsoft Defender voor Cloud (preview)-connector in. Deze connector is beschikbaar via de Microsoft Defender voor Cloud-oplossing, versie 3.0.0, in de Content Hub. Als u een eerdere versie van deze oplossing hebt, kunt u deze upgraden in de inhoudshub.

Als u de verouderde, op abonnementen gebaseerde Defender voor Cloud-connector (die wordt weergegeven als op abonnement gebaseerde Microsoft Defender voor Cloud (verouderd)), hebt ingeschakeld, wordt u aangeraden deze uit te schakelen om duplicatie van waarschuwingen in uw logboeken te voorkomen.

Als u regels voor geplande of Microsoft-beveiligingsanalyses hebt die incidenten maken op basis van Defender voor Cloud waarschuwingen, wordt u aangeraden deze regels uit te schakelen, omdat u kant-en-klare incidenten ontvangt die zijn gemaakt door en gesynchroniseerd met Microsoft 365 Defender.

Als er specifieke typen Defender voor Cloud waarschuwingen zijn waarvoor u geen incidenten wilt maken, kunt u automatiseringsregels gebruiken om deze incidenten onmiddellijk te sluiten of kunt u de ingebouwde afstemmingsmogelijkheden in de Microsoft 365 Defender-portal gebruiken.

Volgende stappen

In dit artikel hebt u geleerd hoe u de integratie van Microsoft Defender voor Cloud kunt gebruiken met Microsoft Defender XDR om incidenten en waarschuwingen op te nemen in Microsoft Sentinel.

Meer informatie over de Microsoft Defender voor Cloud-integratie met Microsoft Defender XDR.